### La specificità della ISO 42001 nella gestione della sicurezza informatica
La recente introduzione della norma ISO/IEC 42001 rappresenta una novità significativa nel panorama degli standard internazionali per la gestione dell’intelligenza artificiale (IA). Questo standard si distingue, in modo particolare, per il suo approccio sistematico che abbraccia l’intero ciclo di vita dei sistemi IA, affrontando i rischi caratteristici connessi e adottando meccanismi di governance specifici. L’ISO 42001 non può essere vista semplicemente come un’estensione della ben nota ISO/IEC 27001 dedicata alla sicurezza delle informazioni, ma piuttosto come uno standard autonomo, volto a rispondere a esigenze uniche e particolari dell’IA.
Uno dei principali equivoci riguarda la presunta similarità tra ISO 27001 e ISO 42001. È comune pensare che avere una certificazione ISO 27001 faciliti il passaggio alla ISO 42001. Tuttavia, nonostante entrambi gli standard seguano il “High Level Structure” (HLS) e condividano il ciclo Plan-Do-Check-Act (PDCA), le loro applicazioni pratiche e i contesti di riferimento sono fondamentalmente diversi. Mentre la ISO 27001 si concentra su aspetti quali la riservatezza, l’integrità e la disponibilità delle informazioni, la ISO 42001 si propone di proteggere non solo i dati, ma soprattutto gli individui e la società nella sua interezza.
L’ISO 42001 approfondisce la tematica dell’impatto sistemico dell’IA, ponendo l’accento non solo sui rischi legati all’organizzazione che sviluppa sistemi IA, ma anche sulle conseguenze sociali ed etiche che l’uso di tali sistemi può generare. I rischi non si limitano più a eventi misurabili ma si estendono a conseguenze potenziali, a volte difficili da prevedere, che possono emergere anche a lungo termine. Ad esempio, un algoritmo potrebbe risultare tecnicamente accurato, ma allo stesso tempo produrre discriminazione in contesti reali. Di conseguenza, l’introduzione della valutazione d’impatto, contemplata dalla clausola 6.1.4 della norma, diventa cruciale. Questa valutazione persegue una riflessione etica e sociale su come i sistemi IA possano influenzare la vita delle persone.
Un altro elemento distintivo di questo standard è la trasformazione del ciclo PDCA nel contesto dell’IA. Mentre nella ISO 27001 la pianificazione è focalizzata sull’identificazione degli asset informativi e sull’implementazione di controlli di sicurezza, nella ISO 42001 la pianificazione richiede una comprensione profonda degli impatti delle decisioni algoritmiche sulle dinamiche sociali, sulla discriminazione e sulle disuguaglianze. Questo richiede un ripensamento sostanziale delle strategie, per garantire che i sistemi IA non solo funzionino correttamente dal punto di vista tecnico, ma rispettino anche la dignità umana e promuovano il bene collettivo.
La fase di attuazione (Do) presenta una netta distinzione: mentre negli standard di sicurezza le misure sono in gran parte codificate e standardizzate, nell’ISO 42001 il “fare” diventa un atto di progettazione responsabile, poiché ogni contesto richiede soluzioni su misura che considerino le specifiche dinamiche etiche e sociali. I modelli devono essere progettati non solo per massimizzare l’efficienza, ma anche per ridurre il rischio di bias e garantire controlli umani adeguati.
Il “Check” della ISO 42001 si differenzia nella sua complessità rispetto alla ISO 27001, poiché implica non solo una verifica tecnica, ma anche una valutazione delle conseguenze sociali delle decisioni prese dai sistemi IA. I criteri per il successo non possono limitarsi a misurazioni tecniche; è fondamentale integrare indicatori che riflettano il benessere delle diverse categorie di soggetti coinvolti.
Un ulteriore aspetto interessante è la speranza di un “vantaggio” derivante da una certificazione ISO 27001 preesistente. È naturale che le organizzazioni già esperte nelle pratiche di gestione del rischio possano sentirsi più preparate ad affrontare i requisiti di governance dell’IA. Tuttavia, ciò può condurre a fraintendimenti: l’IA opera all’interno di un paradigma di ambiguità intrinseca, dove i modelli possono generare risultati imprevisti a causa di variabili difficilmente controllabili
